Openssl - Dziura W Zabezpieczeniach (Błąd Heartbleed)

[Subaru]

Witam

 

Zauważyłem dzisiaj artykuł o tym błędzie i sprawdziłem repozytoria, mamy jeszcze podatną na ten błąd wersję.

Szczegóły błędu dostępne tutaj:

Artykuł

Nie wiem tak po prawdzie do końca co to oznacza dla przeciętnych użytkowników desktopów ale możliwe, że między innymi te programy mają z tym związek (są oznaczone do kasacji jako zależności kasacji OpenSSL):

- Google-chrome-stable

- k3b

- Kolourpaint

- Konqueror

- libgadu-devel (a więc i Kadu)

- mythtv

- PlayOnLinux

- q4wine

- Redhat-lsb

- Totem (czemu go wciąż mam?)

- xmltv

- xscreensaver

- zoneminder

Plus różne inne biblioteki/paczki między innymi Perl

 

Trzeba by chyba szturchnąć kogoś odpowiedzialnego za paczkowanie OpenSSL, choć nie wiem szczerze mówiąc.

 

Pozdrawiam i życzę miłego dnia wszystkim.

 

Subaru

 

EDIT #1

Ciekawe, że przeglądarki Firefox nie ma na liście a mam zainstalowaną...

 

EDIT #2

Yay 700

 

EDIT #3

Poprawiona literówka w tytule tematu

[Miszcz]

Poczekaj kilka dni i powinna pojawić się poprawka. To nie Windows, że trzeba czekać latami

[Mentat]

Uaktualniłem yumem i pociągnęło mi openssl w wersji 1.0.1e-37.fc20.1 które według https://lists.fedoraproject.org/pipermail/announce/2014-April/003205.html wydaje się już poprawione.

[@WalDo]

wydaje się już poprawione.

Nie jest poprawione → https://www.openssl.org/news/secadv_20140407.txt

Affected users should upgrade to OpenSSL 1.0.1g.

[EDIT]

Co gorsza wersji 1.0.1g nie ma też na koji. Jak komuś potrzeba, to pozostaje tylko własna kompilacja.

[Mentat]

Nie jest poprawione → https://www.openssl.org/news/secadv_20140407.txt

 

[EDIT]

Co gorsza wersji 1.0.1g nie ma też na koji. Jak komuś potrzeba, to pozostaje tylko własna kompilacja.

 

RedHat stosuje jakąś inną numerację widocznie. Jak piszą że to jest wersja z łatą to mam im nie wierzyć? https://lists.fedoraproject.org/pipermail/package-announce/2014-April/131221.html

Ważniejsze jest chyba czy jest patch a nie to jaki ma numerek.

[Mentat]

Dodatkowo http://niebezpiecznik.pl/post/heartbleed-zebral-niezle-zniwo-jak-wyglada-internet-2-dni-po/ i http://niebezpiecznik.pl/post/heartbleed-to-wyciek-pamieci-nie-tylko-z-serwerow-www-z-waszych-komputerow-rowniez/

Oprogramowanie klienckie też jest podatne. Czyli wget, curl, zapewne przeglądarki internetowe, itd. Nawet przeglądanie stron internetowych jest teraz ryzykowne.

[@WalDo]

Ważniejsze jest chyba czy jest patch a nie to jaki ma numerek.

Słusznie. Nie szukałem na stronach Fedory.

 

Czyli wget, curl, zapewne przeglądarki internetowe, itd. Nawet przeglądanie stron internetowych jest teraz ryzykowne.

No, niestety dokładnie tak jest. Wszelkie strony wystawiające protokół https (banki, sklepy ) potencjalnie mogą nie być wcale tak bezpieczne jak powinny.

[Miszcz]

A tam panikujecie, jaka jest szansa, że na was akurat trafi to 64k pamięci ?

[Subaru]

Nie nie, tu nie chodzi o panikowanie, od panikowania mamy X% ludzi, którzy używają systemu na literkę "W".

Tu chodzi jedynie o sprawdzenie czy mamy system bez prawdopodobnie największej dziury w historii internetu.

Mentat potwierdził, że mimo "niezgodnej" numeracji biblioteki, dziury nie mamy, więc sprawa jest na czysto.

Jedynie co to jeśli Kadu wymagał OpenSSL (a raczej wymagał?) to możliwe jest, że chcemy go przekompilować z racji, że możemy nie być w stanie stwierdzić czy był kompilowany jeszcze z dziurą OpenSSL czy też nie.

Sprawdziłem też na szybko tą dużą listę co jest podatne na ataki, sprawdziłem swój bank i tak z grubsza tragedii nie ma właściwie (Steam miał wpis, że jest podatny na ataki a później, że nie, widocznie załatali to szybko).

Pozwolę sobie dostawić mały pasek/komiks humorystycznie ukazujący jak ten cały błąd działa.

Heartbleed

[godmode]

A tam panikujecie, jaka jest szansa, że na was akurat trafi to 64k pamięci ?

 

To nie jest tylko 64k - zapytanie mozna wysylac wielokrotnie dostajac rozne obszary 64k.

64k to calkiem sporo tekstu, np. klucz prywatny SSH (nie ma nic wspolnego z ta dziura) ma dlugosc okolo 1,5k, wiec ja nie bylbym taki przekonany ze w tym 64k to tak malo informacji sie znajdzie - to zalezy ktory program wykorzystujacy biblioteke zostal zaatakowany.

[Miszcz]

Ja nie mówię, że mało się znajdzie informacji tylko jaka jest szansa na trafienie akurat konkretnej osoby. Problem Heartbeat jest poważny, ale umiarkowanie. Jednak widzę panikę u niektórych ludzi, która ociera się to nieco o paranoję.

Trzeba mieć świadomość, że różnych ukrytych dziur w programach i systemach, które wykorzystują  usługodawcy ci mali i wielcy- są setki, jak nie więcej. Kwestia tylko czasu, zanim, ktoś je odnajdzie. I z taką świadomością trzeba żyć i zabezpieczać swoje serwery.

[@WalDo]

Jednak widzę panikę u niektórych ludzi, która ociera się to nieco o paranoję.

Też mam wrażenie, że to panika podobna jak 15 lat temu, gdy groziła tzw. bomba roku 2000. Dużo krzyku i zero problemów. A miały samochody z komputerami pokładowymi przestać jeździć Jakoś nikt nie chciał pomyśleć i zauważyć, że samochód ma w rurze wydechowej to czy jeździ w XIX, XX czy XXI wieku

[Subaru]

Dlatego wojsko jeśli decyduje się na użycie Linuksa (bowiem "W" i OSX są pod "kloszem nadzorowym") to i tak biorą Kernel, poprawiają go do umuru i dopiero budują na nim swojego Linuksa by jak najmniej tzw. "dziur" było.

Dla precyzji powiem jeszcze raz (mam nadzieję wyraźniej):

Ten temat NIE MIAŁ na celu:

- Siania paniki

- Robienia spóźnionego Prima Aprilis

- Straszenia ludzi

- &c.

Ten temat MIAŁ na celu:

- Poinformowanie społeczność forum Fedora o dość dużej dziure w zabezpieczeniach

- Ergo zapytanie co możemy w tej sprawie zrobić (jak widać nic nie trzeba bo już ludzie naprawili to szybciej niż przeczytałem artykuł o_o)

- &c.

 

Jak to dobrze, że "W" nie używa OpenSSL (nie używa, prawda?...), bo mogliby przebić wtedy top 10 dziur (moją ulubioną był błąd w którejś bibliotece, pozwalający na przesłanie scalonego obrazka z wirusem tak by Antywirus się nie połapał, że coś się prześlizguje pod jego nosem).

[godmode]

Dlatego wojsko jeśli decyduje się na użycie Linuksa (bowiem "W" i OSX są pod "kloszem nadzorowym") to i tak biorą Kernel, poprawiają go do umuru i dopiero budują na nim swojego Linuksa by jak najmniej tzw. "dziur" było.

Dla precyzji powiem jeszcze raz (mam nadzieję wyraźniej):

Ten temat NIE MIAŁ na celu:

- Siania paniki

- Robienia spóźnionego Prima Aprilis

- Straszenia ludzi

- &c.

Ten temat MIAŁ na celu:

- Poinformowanie społeczność forum Fedora o dość dużej dziure w zabezpieczeniach

- Ergo zapytanie co możemy w tej sprawie zrobić (jak widać nic nie trzeba bo już ludzie naprawili to szybciej niż przeczytałem artykuł o_o)

- &c.

 

Jak to dobrze, że "W" nie używa OpenSSL (nie używa, prawda?...), bo mogliby przebić wtedy top 10 dziur (moją ulubioną był błąd w którejś bibliotece, pozwalający na przesłanie scalonego obrazka z wirusem tak by Antywirus się nie połapał, że coś się prześlizguje pod jego nosem).

 

 

Ogolnie rzecz biorac to wojsko uzywa wszystkiego po trochu ale jezeli Ci chodzi o ich strukture serwerow to na pewno nie stawiaja jej na Macintoshach jak napisales - OSX. 

Popularne sa Unixy, zwlaszcza Solaris ten w wersji na procesory o architekturze SPARC jak i x86 (wiele uczelni, w tym Politechnika Warszawska ma sieci ns SPARCach Solarisach). 

 

To czy wojsko korzysta z OpenSSL, w sensie pisania wlasnego oprogramowania, nie ma zadnego znaczenia, poniewaz wiele aplikacji z ktorych korzystaja moga uzywac biblioteki OpenSSL, zreszta serwery z ktorymi sie lacza moga korzystac z OpenSSL np. ktos z sieci wojskowej laczy sie z onet. pl ;-)  lub bbc. co. uk lub cnn. com, gdzie zazwyczaj serwer WWW to tandem : ciezki Apache + lekki nginx, gdzie oba korzystaja z OpenSSL. Chodzilo mi o przyklad, ze nie wystarczy zaktualizowac OpenSSL u sieboe - w zasadzie na domowych komputerach nie ma to zadnego znaczenis, chodzi o serwery ktore korzystaja z dziurawego OpenSSL